les cookies et la lois
DESCRIPTION
La nouvelle lois sur les cookies risquent d'entraîner quelques changements dès la création d'un site web. Voici ce qu'il est permis et comment mettre en place concrètement cette nouvelle lois.TRANSCRIPT
Les cookies et la loi Obligations et exemples
La Belgique
Ce que dit la loi
Loi existante
• Obligation de fournir une
information claire et précise
à propos du système de
collecte de données.
• L'utilisateur doit avoir la
possibilité de refuser cette
collecte sauf si c'est pour
facilité la communication ou si
c'est indispensable pour
fournir ce qui a été demandé.
-> Opt-out pas toujours suffisant
Nouveau régime
• Obligation de fournir une
information claire et
précise à propos système
de collecte de données.
• L'utilisateur doit donner son
consentement après avoir
pris connaissance des
conditions.
• L'utilisateur doit avoir la
possibilité de refuser cette
collecte.
Évolutions
La commission privée avait demandé d'ajouter le terme "précis/non
douteux" concernant le consentement nécessaire de l'utilisateur. Ce
qui aurait impliqué :
• un consentement explicite pour les cookies intrusifs (3ème partie) :
opt-in
• une exception pour les cookies non-intrusif (1ère partie) : opt-out
(browser setting et privacy policy suffisant)
Le législateur belge a pris la décision de ne pas ajouter au nouveau
régime les mots "préalable", "écrit" et "précis/non douteux". Il n'y a
donc pas de consentement explicite requis.
-> le consentement de l'utilisateur peut être acquis par des informations
claires et une redirection vers les browser settings.
Ce qui doit être mis en place
• l'utilisateur doit être informé des cookies qui sont placés lorsqu'il
consulte un site :
o qualité et visibilité de l'information
o instructions claires à propos de la procédure à suivre pour
désactiver les cookies
• Importance faible pour les cookies de 1ère partie et élevée pour les
cookies de 3ème partie
-> Pop-up dès la HP comportant :
• un message informatif (consentement implicite)
• un lien vers la documentation complète qui renvoie vers les
browser setting, le privacy policy ou une page de gestion dédiée.
Le lien vers l'explication doit toujours être visible sur le site.
Exemples http://www.bbc.co.uk/
http://www.guardian.co.uk/
http://www.bbc.co.uk/privacy/cookies/managing/cookie-settings.html
Exemples http://www.radisson.com/
http://www.fr.ford.be/
OBA
OBA (cookie 3ème partie / retargeting)
Règles
• Afficher l'icône près de la pub ou sur la page à partir de
laquelle les données sont collectées
• Un clic sur l'icône renvoie vers plus d'informations
• Les utilisateurs doivent pouvoir désactiver les cookies
OBA via youronlinechoices.eu
• Opt-in nécessaire pour la collecte d'URLs
Sanctions (gérées par l'EDAA)
• Des audits seront probablement conduits et les
consommateurs pourront se plaindre
• Une icône de certification sera attribuée aux sites
conformes
• des sanctions pourront être prises
icône OBA
Ex d'icône de certification
En pratique
Exemple
youronlinechoices.eu
• information OBA
• Gestion de ses préférences
• Pan européen
L'Europe
Europe
Allemagne
• Opt-in pour les cookies qui collectent des données à caractère
personnel
• Opt-out pour les autres
UK
• Focus sur les informations données. Les browser settings ne sont
pas suffisants.
• Le consentement implicite n'est valable que si l'utilisateur comprend
que son approbation consiste en l'installation de cookies. Les
informations ne peuvent donc pas être cachées dans les privacy
policies et elles doivent être facilement compréhensibles.
• Exeptions : cookies pour le shopping basket, cookies techniques et
cookies pour la sécurité bancaire.
• Les WA ne sont pas exemptés mais le risque de confidentialité étant
faible, si les informations fournies sont claires et si il y a un
mécanisme facile d'opt-out, ces cookies peuvent persister.
France
• Consentement préalable et explicite nécessaire
• Browser settings non valides
• Sanctions : 300.000€
• Exceptions :
o WA sous certaines conditions
o Shopping basket
o cookies de sessions et de langues
o cookies qui assurent la sécurité
o cookies qui permettent d'afficher l'audio et la vidéo demandée
Pays-Bas
Quid?
• Site hébergé dans le pays 1
• Qui cible le pays 2
• Qui est géré dans le pays3
Dans ce cas, il faut tenter de répondre à toutes les lois -> utiliser la plus
stricte!